Re: Certificat SSL

トップ ページ

このメッセージに返信
著者: Bruno Vernay
日付:  
To: sylvain letuffe
CC: guilde
題目: Re: Certificat SSL
Le subjet contient les noms sous différentes forme :
E = claude.lecommandeur@???
CN = guests.epfl.ch
CN = tequila.epfl.ch
CN = dinfo.epfl.ch
CN = accred.epfl.ch
CN = cognac3.epfl.ch
CN = (cognac3|accred|dinfo|tequila|guests).epfl.ch
O = EPFL
L = Lausanne
ST = Vaud
C = CH

Avec "curl -k" ca passe, mais il saute toute vérification. Il me
semble avoir lu que curl était plus "dans l'air du temps" que wget.

Sinon la seule erreur que reporte curl ou un "openssl s_client
-connect guests.epfl.ch:443"
c'est "verify error:num=19:self signed certificate in certificate
chain". MAintenant s'arrete-t-il à la premiere erreur ?

Bruno

On 9/20/07, sylvain letuffe <sylvain@???> wrote:
>
> > D'où ma question: est-ce qu'une expression régulière de la sorte
> > comme "common
> > name" est autorisée par le standard - dans ce cas wget est en faute - ou
> > bien
> > est-ce une excentricité de l'admin de l'EPFL ?
> >
> > Et je n'ai rien trouvé de pertinent par l'intermédiaire de google...
>
> Étant donné que je m'étais moi même posé la question sur ces histoire de
> certificats, j'ai fais mes recherches et voici mes conclusions :
> ( loin d'être sûr à 100% car je n'ai rien trouvé de très clair )
>
> Selon la RFC 3280 http://www.ietf.org/rfc/rfc3280.txt sur les certificats
> X.509 v3 :
> 1) seule est permis une chaîne de caractères donnée comme telle n'ayant pas de
> sens défini.
> Pour utiliser un certificat sur plusieurs sujets, il existe une extension de
> la v3 "l'extension par sujet alternatifs":
> "The subject alternative names extension allows additional identities
>    to be bound to the subject of the certificate"

>
> 2) la RFC précise concernant le wilcard "*" que l'étoile "*" n'a pas de sens
> particulier mais peut être utiliser par les applications
> ( j'imagine que pareil pour les REGEXP )
>
> "Finally, the semantics of subject alternative names that include
>    wildcard characters (e.g., as a placeholder for a set of names) are
>    not addressed by this specification.  Applications with specific
>    requirements MAY use such names, but they must define the semantics."

>
> Petite note sur le "réel" maintenant (issu de mes connaissances personnelles):
> le wildcard "*" est reconnu et utilisé par la plupart des navigateurs, mais
> refusé par d'autre applications ( certains produits microsoft et certains
> outils libres )
>
> les REGEXP plus complètes, je n'en sais rien du tout mais j'ai l'impression
> que si ça marche dans ton cas ( du moins pour les navigateurs), c'est peut
> être à cause de l'utilisation du multi-sujet. Car chez moi konqueror
> m'indique : ( cf pj )
>
>
>
>
> --
> Sylvain Letuffe sylvain@???
> jabber id : sly@???
>
>
>
>